EMD安全

查询语法是基于entity data model(EDM),不是基于底层的model类型,可以从EDM排除一个属性,这样这个属性在client就不能被查询了。

有两种方式可以从EDM中排除一个属性

第一种使用 [IgnoreDataMember]特性

public class Employee

{

    public string Name { get; set; }

    public string Title { get; set; }
    //当应用于类型的成员时,指定该成员不是数据协定的一部分且没有进行序列化 命名空间System.Runtime.Serialization

    [IgnoreDataMember]

    public decimal Salary { get; set; } // Not visible in the EDM

}

第二种方式以编程方式从EDM中排除属性

var employees = modelBuilder.EntitySet<Employee>("Employees");

employees.EntityType.Ignore(emp => emp.Salary);

安全查询

     [Queryable]特性是一个action过滤器支持解析、验证以及应用查询,过滤器将查询选项转为一个LINQ表达式。

Web API支持以下OData查询选项:

为了使用OData的查询,必须显示指定查询可用。可以在全局进行配置或在指定的控制器或action上。

public static void Register(HttpConfiguration config)

{

    config.EnableQuerySupport();

    // ...

}
public class ProductsController : ApiController

{

    [Queryable]

    IQueryable<Product> Get() {}

}

限制查询

为了安全或性能方面的考虑,可能需要限制一些操作。Queryable]特性有一些内建的属性可以实现这一点。如下所示:

//仅允许$skip与$top操作

[Queryable(AllowedQueryOptions=AllowedQueryOptions.Skip | AllowedQueryOptions.Top)]

//在指定属性上进行排序,对于在数据库中没有索引的字段会禁止排序操作的

[Queryable(AllowedOrderByProperties="Id")]

//仅允许“eq”这种逻辑操作

[Queryable(AllowedLogicalOperators=AllowedLogicalOperators.Equal)]

//禁止所有的算术操作

[Queryable(AllowedArithmeticOperators=AllowedArithmeticOperators.None)]

可以通过构造一个QueryableAttribute的实例在定义全局查询过滤

var queryAttribute = new QueryableAttribute()

{

    AllowedQueryOptions = AllowedQueryOptions.Top | AllowedQueryOptions.Skip,

    MaxTop =

};

config.EnableQuerySupport(queryAttribute);

直接调用查询选项

不使用[Queryable]特性,可以在controller中直接调用查询选项,这要做需要在方法中添加一个ODataQueryOptions参数

public IQueryable<Product> Get(ODataQueryOptions opts)

{

    var settings = new ODataValidationSettings()

    {

        // Initialize settings as needed.

        AllowedFunctions = AllowedFunctions.AllMathFunctions

    };

    opts.Validate(settings);

    IQueryable results = opts.ApplyTo(products.AsQueryable());

    return results as IQueryable<Product>;

}

查询验证

[Querable]特性在执行之前就验证查询选项,验证步骤在QueryableAttribute.ValidateQuery 方法中执行,可以自定义验证过程。如下所示:

 public class MyOrderByValidator : OrderByQueryValidator

 {

     // Disallow the 'desc' parameter for $orderby option.

     public override void Validate(OrderByQueryOption orderByOption,

                                     ODataValidationSettings validationSettings)

     {

         if (orderByOption.OrderByNodes.Any(

                 node => node.Direction == OrderByDirection.Descending))

         {

             throw new ODataException("The 'desc' option is not supported.");

         }

         base.Validate(orderByOption, validationSettings);

     }

 }

 public class MyQueryableAttribute : QueryableAttribute

 {

     public override void ValidateQuery(HttpRequestMessage request,

         ODataQueryOptions queryOptions)

     {

         if (queryOptions.OrderBy != null)

         {

             queryOptions.OrderBy.Validator = new MyOrderByValidator();

         }

         base.ValidateQuery(request, queryOptions);

     }

 }

 // Globally:

 config.EnableQuerySupport(new MyQueryableAttribute());

 // Per controller:

 public class ValuesController : ApiController

 {

     [MyQueryable]

     public IQueryable<Product> Get()

     {

         return products.AsQueryable();

     }

 }

如果直接使用ODataQueryOptions 可以设置验证器

public IQueryable<Product> Get(ODataQueryOptions opts)

{

    if (opts.OrderBy != null)

    {

        opts.OrderBy.Validator = new MyOrderByValidator();

    }

    var settings = new ODataValidationSettings()

    {

        // Initialize settings as needed.

        AllowedFunctions = AllowedFunctions.AllMathFunctions

    };

    // Validate

    opts.Validate(settings);

    IQueryable results = opts.ApplyTo(products.AsQueryable());

    return results as IQueryable<Product>;

}

Note:在新版本的WebAPI中[Queryable]特性已经被否决,使用[EnableQuery]特性

WebApi2官网学习记录---OData中的查询的更多相关文章

  1. WebApi2官网学习记录---Html Form Data

    HTML Forms概述 <form action="api/values" method="post"> 默认的method是GET,如果使用GE ...

  2. WebApi2官网学习记录---Cookie

    Cookie的几个参数: Domain.Path.Expires.Max-Age 如果Expires与Max-Age都存在,Max-Age优先级高,如果都没有设置cookie会在会话结束后删除cook ...

  3. WebApi2官网学习记录--HttpClient Message Handlers

    在客户端,HttpClient使用message handle处理request.默认的handler是HttpClientHandler,用来发送请求和获取response从服务端.可以在clien ...

  4. WebApi2官网学习记录--HTTP Message Handlers

    Message Handlers是一个接收HTTP Request返回HTTP Response的类,继承自HttpMessageHandler 通常,一些列的message handler被链接到一 ...

  5. WebApi2官网学习记录---Configuring

    Configuration Settings WebAPI中的configuration settings定义在HttpConfiguration中.有一下成员: DependencyResolver ...

  6. WebApi2官网学习记录--- Authentication与Authorization

    Authentication(认证)   WebAPI中的认证既可以使用HttpModel也可以使用HTTP message handler,具体使用哪个可以参考一下依据: 一个HttpModel可以 ...

  7. WebApi2官网学习记录---Tracing

    安装追踪用的包 Install-Package Microsoft.AspNet.WebApi.Tracing Update-Package Microsoft.AspNet.WebApi.WebHo ...

  8. WebApi2官网学习记录---异常处理

    HttpResponseException 当WebAPI的控制器抛出一个未捕获的异常时,默认情况下,大多数异常被转为status code为500的http response即服务端错误. Http ...

  9. WebApi2官网学习记录---Content Negotiation

    Content Negotiation的意思是:当有多种Content-Type可供选择时,选择最合适的一种进行序列化并返回给client. 主要依据请求中的Accept.Accept-Charset ...

随机推荐

  1. Ueditor使用方法

    1.到百度下载文件,有各种版本.下载.net版本 2.将所需文件导入工程中 分别是:themes文件夹.third-party文件夹.ueditor.all.min.js.ueditor.config ...

  2. 使用DataSet数据集插入记录

    使用INSERT语句能够完成数据插入,使用DataSet对象也可以完成数据插入.为了将数据库的数据填充到DataSet中,则必须先使用DataAdapter对象的方法实现填充,当数据填充完成后,开发人 ...

  3. poj3468 线段树+lazy标记

    A Simple Problem with Integers Time Limit: 5000MS   Memory Limit: 131072K Total Submissions: 92921   ...

  4. uCgui和emWin的区别

              在国内做嵌入式系统的,开始入门OS的时候,大家应该都会选择uC/OS,为什么?因为代码开源且资料众多嘛.由于uC/OS的原因大家也一定接触了uC/GUI的嵌入式图形软件库.其实uC ...

  5. [BZOJ]3643 Phi的反函数

    我承认开这篇文章只是因为好笑…… 估计Zky神看见3737会很郁闷吧. http://www.lydsy.com/JudgeOnline/problem.php?id=3643 本来想直接交3737改 ...

  6. 恢复root用户目录,及~目录

    普通帐号登su;mkdir /root;chown root:root /root cp -R /etc/skel/.[!.]* ./

  7. jQuery工作原理解析以及源代码示例

    jQuery的开篇声明里有一段非常重要的话:jQuery是为了改变javascript的编码方式而设计的.从这段话可以看出jQuery本身并不是UI组件库或其他的一般AJAX类库.jQuery改变ja ...

  8. pubwin数据云备份

    由于pubwin自带的异地备份一直不好用,并且pubwin自带的37分钟备份也不方便手动备份,考虑用python 与写一个基于酷盘的pubwin数据备份工具(本来想基于百度云的,发现百度云用的人太多, ...

  9. Scala学习文档-访问修饰符

    在scala里,对保护成员的访问比Java严格.Scala中,保护成员只在定义了成员的类的子类中可以访问,而Java中,还允许在同一个包的其他类中访问. package p1 { class FCla ...

  10. Scala学习笔记--特质trait

    http://outofmemory.cn/scala/scala-trait-introduce-and-example 与Java相似之处 Scala类型系统的基础部分是与Java非常相像的.Sc ...